CVE-2026-28742
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Urządzenia Naxclow wykorzystują jednolity schemat podpisywania żądań oparty na wbudowanej w każdym obrazie oprogramowania soli. Po odzyskaniu tej soli z dowolnego urządzenia, atakujący może generować ważne podpisy dla dowolnych operacji urządzenia lub konta, co prowadzi do możliwości fałszowania żądań i podszywania się pod użytkowników.
Ocena ryzyka
Brak unikalnych kluczy dla każdego urządzenia oraz brak ochrony przed powtórnymi żądaniami stwarza poważne ryzyko dla bezpieczeństwa platformy, umożliwiając atakującym przejęcie kontroli nad urządzeniami i kontami użytkowników.
Rekomendacja
Zaleca się wprowadzenie unikalnych kluczy dla każdego urządzenia oraz implementację mechanizmów ochrony przed powtórnymi żądaniami. Dodatkowo, należy przejść na bezpieczny protokół HTTPS dla ruchu kontrolnego.
Oryginalny opis (angielski, źródło NVD)
Naxclow devices use a uniform request-signing scheme based on a hard-coded, platform-wide salt embedded in every firmware image. Once this salt is recovered from any device, an attacker can generate valid signatures for arbitrary device or account operations due to the absence of per-device keys, server-side nonce tracking, or replay protections. Combined with the system’s use of plain HTTP for control-plane traffic, the construction enables broad request forgery and impersonation across the platform.

